Das neue Cybersicherheitsgesetz in China – Datenschutz und IT-Sicherheit?

Cybersicherheitsgesetz in China

China hat im November 2016 ein Gesetz zur Cybersicherheit verabschiedet, welches im Juni 2017 in Kraft getreten ist. Besonders Unternehmen, die in der Volksrepublik China agieren, kooperieren oder dies in naher Zukunft beabsichtigen, sollten sich diesbezüglich informieren, um nicht im Nachhinein mit unangenehmen Tatsachen konfrontiert zu werden.

Ihr externer Datenschutzbeauftragter gibt Ihnen einen kurzen Überblick über das Cybersicherheitsgesetz in China und zeigt Ihnen mögliche Risiken auf, die durch das Gesetz bestehen könnten.

Überblick über die Regelungen des chinesischen Cybersicherheitsgesetzes

Ein kurzer Blick auf das neue chinesische Cybergesetz zeigt, dass dieses einen umfangreichen Regulierungsansatz verfolgt, der nicht nur Datenschutz und Datensicherheit berücksichtigt, sondern sich auch auf die Betriebssicherheit wesentlicher und kritischer Dienstleistungen bezieht. Das Gesetz ist in sieben Abschnitte gegliedert, die allgemeine Angaben und Begriffsdefinitionen sowie

  • Maßnahmen zur Unterschätzung und Förderung der Netzsicherheit,
  • Aspekte des Monitorings,
  • die Einrichtung eines Frühwarnsystems,
  • und die Zuweisung der Verantwortlichkeit für Cybersicherheitsmaßnahmen und -vorfälle

enthalten.

Das chinesische Cybersicherheitsgesetz im Vergleich mit deutschem und europäischem Recht

Verglichen mit dem europäischen und deutschen Recht können einige Gemeinsamkeiten gefunden werden, aber auch erhebliche Unterschiede.

Ins Auge springt dabei die Thematik Datenschutz und Datensicherheit. Im deutschen und europäischen Recht werden diese Themen eher zögerlich zusammengeführt und deutlich in Datenschutz und IT-Sicherheit getrennt. In China hingegen finden sich nun in Einzelgesetzen explizite Normen, die die Zusammenführung beider Bereiche regeln. Der Staat hat in diesem Fall eine wesentliche Koordinationsfunktion, bei der der Bürger aktiv einbezogen wird. Dieser bekommt Aus- und Fortbildung in Sachen Datenschutz und IT-Sicherheit und erhält die Möglichkeit, beeinträchtigende Vorgänge gegen die Netzsicherheit bei den zuständigen Behörden zu melden. Dem Staat obliegt dabei die Aufgabe, technische Normen für die IT-Sicherheit zu entwickeln, um den Bürgern die beeinträchtigenden Vorgänge gegenüber der Netzsicherheit vermitteln zu können.

Die Pflichten der Betreiber im chinesischen Cybersicherheitsgesetz scheinen in einigen Bereichen denen des deutschen und europäischen Rechts zu ähneln. Dazu gehören beispielsweise die:

  • Einrichtung von technischen und organisatorischen Maßnahmen (TOM) oder
  • die Verpflichtung zur Reduzierung der Gefahren der Betriebssicherheit.

In Zukunft werden nun auch Accessprovider (auch Zugangsprovider genannt), die dafür zuständig sind, Unternehmen oder Bürgern Zugang zum Internet zu verschaffen, dazu verpflichtet, Identitätsnachweise des Kunden vor Vertragsschluss einzuholen. Mit diesem Verfahren erhofft sich der chinesische Gesetzgeber, nach eigenen Angaben, eine Reduktion der Online-Kriminalität.

Ebenso schreibt der chinesische Gesetzgeber eine behördliche Koordinierung beim inner- und außerstaatlichen Informationsaustausch in Sachen Cyberkriminalität vor, die in die Richtung der Zentralfunktion des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) und der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) abzielen könnte. Für die Betreiber von kritischen Infrastrukturen (KRITIS), z.B. Stromversorger, ergeben sich erhöhte Cybersichersicherheitsanforderungen, wobei neben den benannten Bereichen, wie Transport, Wasserversorgung, E-Government-Dienstleistungen, Energie, Finanz- und Kommunikationswesen, weitere Bereiche – aufgrund der unpräzisen Formulierungen – von den Behörden als „kritisch“ eingestuft werden können. Zusätzlich finden sich im Gesetz zahlreiche Datenschutzregelungen, die so erscheinen als würden sie mit den wesentlichen europäischen und deutschen Datenschutzprinzipien konform gehen. So wurden z. B. Regelungen zum Datendiebstahl, zu Betroffenenrechten sowie Regelungen, welche auf den Zweckbindungsgrundsatz und die Erforderlichkeitsprüfung abzielen, vorgesehen. Weiterhin werden erhebliche Sanktionen bei Zuwiderhandlung gegen die Vorschriften im chinesischen Gesetz festgesetzt, die explizit zu persönlichen Konsequenzen für Führungskraft und IT-Sicherheitspersonal führen können.

Cybersicherheitsgesetz in China – Daten dürfen nur noch in China gespeichert werden

Zusätzlich gestattet das Gesetz der Volkrepublik, Daten zu erheben, welche nicht nur aus China selbst stammen. Dies geht so weit, dass auch auf Daten ausländischer Unternehmen zugegriffen werden darf, die lediglich dort agieren. Diese sind weiterhin zusätzlich dazu verpflichtet, ihre Daten innerhalb Chinas zu speichern und dort zu belassen. Hierbei gibt es Fallkonstellationen, in denen die Möglichkeit besteht, dass lediglich die chinesische Regierung Zugang zu den Daten erhält.

Relevanz des chinesischen Cybersicherheitsgesetzes für deutsche Anbieter von IT-Lösungen

Ebenso kritisch ist die Tatsache, dass bei der Verschlüsselung von Daten nach dem Cybersicherheitsgesetz nur noch in China genehmigte Software verwendet werden darf, was den Vertrieb ausländischer Software in China stark einschränken dürfte.

Das Cybersicherheitsgesetz wird dabei durch einen Maßnahmenkatalog (sog. „Measures on Security Review of Network Products and Services“) für die Gewährleistung der IT-Sicherheit ergänzt. Der Katalog basiert dabei nicht nur auf dem Cybersicherheitsgesetz, sondern auch auf dem Sicherheitsgesetz der Volksrepublik China. Große Bedeutung hat dies für Netzwerk(sicherheits)produkte, aber auch für solche Produkte, die im KRITIS-Bereich eingesetzt werden sollen, da die „Cybersecurity Review“, welche durch staatliche Behörden und das „Cybersecurity Review Committee“ koordiniert wird, umfassende Untersuchungsmaßnahmen für darin genannte Produktkategorien vorsieht.

Fazit

Unklar bleibt bei derartigen Regelungen, ob diese auf eine Förderung der IT-Sicherheit / Informationssicherheit und des Datenschutzes abzielen oder ob es sich lediglich um einen Schleier der Zensur handelt. Deutsche und europäische Unternehmen sollten sich eine Ausweitung ihrer Aktivitäten nach China sorgfältig überlegen. Mindestens sollte eine hinreichende Analyse der Lage und der möglichen Konsequenzen mithilfe von entsprechendem Fachpersonal, wie dem Datenschutzbeauftragen oder dem IT-Sicherheitsbeauftragten, erfolgen.

Haben Sie noch Fragen zu diesem Thema oder wollen Sie Ihr Unternehmen im Datenschutz besser positionieren?

Brands Consulting bietet Ihnen umfangreiche und kompetente Unterstützung in Sachen Datenschutz. Nehmen Sie Kontakt zu uns auf oder holen Sie ein unverbindliches und kostenloses Datenschutz-Angebot bei uns ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.